Az üzleti folyamatok hibái biztonsági kockázatokkal szembesültek

A biztonságos weboldal futtatása többet jelent, mint a webhelyek közötti szkriptek és az SQL injekciós támadások elleni védelem. A webhelyek alapját képező üzleti folyamatokban jelentkező hibák komoly biztonsági kockázatokat is jelenthetnek, egy webbiztonsági cég CTO-ja szerint csütörtök.

A webhelyek folyamatairól vagy üzleti logikájáról szóló hibák bizonyulhatnak rendkívül jövedelmezővé a hackerek számára, kis mennyiséget igényelnek Jeremiah Grossman, a WhiteHat Security CTO-ja a Source Boston Security Showcase-nál.

"Ezek a kérdések gyakoriak, ha tudod, hogy mit keressünk" - mondta.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

Számos példát ajánlott fel ezekre a hibákra, köztük azokat, amelyek a weboldalakon, a Captcha hitelesítési rendszerekben és a felhasználói jogosultságokban találhatók. Azok, akik kihasználják őket, gyakran egyszerűen tiltják a szolgáltatás igénybevételét, bár néha büntetőeljárás alatt állnak.

2007-ben egy nő 412 ezer dollárért vádolták a QVC-t, azzal, hogy kihasználta a hibát az üzleti logikában. A hazai vásárlási hálózathoz 1.800 darab rendelést adott, majd a megbízásokat a webhelyén törölte. Ő kapott megbízást az áru visszaküldésére, de az elemeket egyébként elküldték neki, és eladta őket az eBay-en, mondta az Igazságügyi Minisztérium. A QVC tudomást szerzett az ügyről, amikor az eBay-felhasználók kapcsolatba léptek a csomagolásukban lévő tárgyak fogadásával. A nő végül bűnösnek nyilvánította a vezetékes csalás miatt.

A jelszavak visszaállítása jogosulatlan fiókhozzáférést eredményezhet, ha egyértelmű kérdéseket tesz fel és a hackerek kisebb információkkal rendelkeznek az áldozataikról. Grossman példát mutatott a korábbi Sprint mobilszolgáltatóra. A jelszavak visszaállításához azt mondta, hogy egy hackernek csak egy személy mobiltelefonszámát kell tudnia, és egy olyan alapvető információt, mint ahol éltek, vagy a kocsit, amit vezetett. Ez lehetővé tenné a hacker számára, hogy új telefonokat rendelhessen az áldozat nevében, vagy új szolgáltatásokat telepítsen a telefonjára.

Az e-kuponok kockázatot jelentenek a kereskedők számára, ha a szelvényszámok egymás után egymáshoz közel vannak. Egy kiskereskedő néhány magas árú cikket látott néhány dollárért eladni, miután egy hacker írt egy forgatókönyvet, hogy feltérképezze a csak néhány számjegyű kuponszámokat. A kiskereskedő felfedezte a problémát, amikor a rendszernaplók rengeteg megrendelést fedeztek fel éjszaka, miközben a hacker forgatókönyve futott.

A hackerek meg tudják győzni más webes szörfösöket, hogy Captcha teszteket oldjanak meg nekik, zenét vagy felnőtt tartalmat. A Captchas megköveteli, hogy egy személy megfejtse a töredezett karakterek sorát, és regisztráljon szolgáltatásokat, például egy webes e-mail fiókot. A webes szörfösök megoldják a Captchákat, amelyeket proxykiszolgálón keresztül küldenek a hackernek, és aztán felhasználják őket arra, hogy több e-mail fiókot regisztráljanak spam vagy egyéb tevékenység elküldéséhez.

"Amíg elég felhasználó van a webhelyére, akkor megoldotta a Captcha-t "- mondta Grossman. "A rosszfiúk szeretnék legyőzni ezeket a Captchákat, hogy spameket küldhessenek el nekünk."

Egy másik hiba a felhasználóknak a weboldal minden részéhez való hozzáférését biztosítja, amikor bejelentkezésük vagy jelszójuk van egy adott szolgáltatáshoz. Például egy észt vállalat alkalmazottai 2004-ben bejelentették a Business Wire sajtóközleményt. Megállapította, hogy az oldal URL-jei néha olyan információkat tartalmaztak, amelyek még nem kerültek nyilvánosságra. Az URL-eket kereső program segítségével a vállalat alkalmazottai képesek voltak érzékeny üzleti és pénzügyi információkat feltárni. Miután az információk alapján vásárolt és értékesített, az alkalmazottak 7,8 millió dollárt tettek ki, de az amerikai szabályozók csalási díjakat is találtak.

Megjegyezte, hogy valószínűleg sok olyan hasonló eset állt fenn, amely soha nem derült fénybe, mert az elkövetők soha nem fogták el.

A webes biztonság kiterjeszti a minőségbiztosítást és a webes alkalmazások megfelelő tervezését annak érdekében, hogy a szolgáltatásokat a működéshez hozzák létre, mondta.